Documentação do Oracle Cloud Infrastructure

Gerenciando Grupos Dinâmicos

Este tópico descreve como gerenciar grupos dinâmicos e definir as regras para determinar os membros de um grupo dinâmico.

Sobre Grupos Dinâmicos

Os grupos dinâmicos permitem que você agrupe instâncias de computação da Oracle Cloud Infrastructure como atores "principais" (semelhantes aos grupos do usuário). Em seguida, você pode criar políticas para permitir que as instâncias façam chamadas de API nos serviços Oracle Cloud Infrastructure. Ao criar um grupo dinâmico, em vez de adicionar membros explicitamente ao grupo, você define um conjunto de regras de correspondência para definir os membros do grupo. Por exemplo, uma regra pode especificar que todas as instâncias de um compartimento específico são membros do grupo dinâmico. Os membros podem mudar dinamicamente, pois as instâncias são iniciadas e encerradas nesse compartimento.

Aplicando Tags em Recursos

Aplique tags aos recursos para ajudar a organizá-los de acordo com as suas necessidades de negócios. Você pode aplicar tags ao criar um recurso e pode atualizar um recurso posteriormente para adicionar, revisar ou remover tags. Para obter informações gerais sobre a aplicação de tags, consulte Tags de Recursos.

Como trabalhar com Grupos Dinâmicos

Ao criar um grupo dinâmico, você deve fornecer um nome exclusivo e inalterável para o grupo dinâmico. O nome deve ser exclusivo em todos os grupos em sua tenancy. Você também deve fornecer ao grupo dinâmico uma descrição (embora possa ser uma string vazia), que é uma descrição não exclusiva e que pode ser alterada para o grupo. O sistema Oracle também designará ao grupo um ID exclusivo chamado OCID (Oracle Cloud ID). Para obter mais informações, consulte Identificadores de Recursos.

Nota

Se você excluir um grupo dinâmico e depois criar um novo grupo dinâmico com o mesmo nome, eles serão considerados grupos distintos porque terão outros OCIDs.

Um grupo dinâmico não tem permissões até que você grave pelo menos uma política  que forneça essa permissão de grupo dinâmico para a tenancy ou o compartimento. Ao gravar a política, você pode especificar o grupo dinâmico usando o nome exclusivo ou o OCID do grupo dinâmico. De acordo com a observação anterior, mesmo que você especifique o nome da dinâmica na política, o IAM usa internamente o OCID para determinar o grupo dinâmico. Para obter informações sobre como gravar políticas, consulte Gerenciando Políticas.

Você pode excluir um grupo dinâmico, mas somente se o grupo estiver vazio.

Atualizando Grupos Dinâmicos

Você pode atualizar as regras de correspondência que definem os membros de um grupo dinâmico. Por exemplo, você pode alterar uma regra de correspondência que inclua todas as instâncias de um compartimento para excluir uma instância específica. Ou você pode atualizar uma regra para incluir um novo valor de tag.

Importante

Ao fazer uma alteração em uma regra de correspondência, você deverá aguardar cerca de uma hora para que a política atualizada tenha efeito. Por exemplo, se você atualizar tags em uma instância para incluir ou excluir essa instância de um grupo dinâmico, será necessário aguardar que essa política tenha efeito para incluir ou excluir a instância.

Limites nos Grupos Dinâmicos

Uma única instância de computação pode pertencer a no máximo 5 grupos dinâmicos.

Você pode ter no máximo 50 grupos dinâmicos em sua tenancy.

Usando a Console

Para criar um grupo dinâmico
  1. Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Domínios. Em Domínio de identidades, selecione Grupos dinâmicos.
  2. Selecione Criar Grupo Dinâmico.
  3. Informe o seguinte:
    • Nome: Um nome exclusivo para o grupo. O nome deve ser exclusivo em todos os grupos de sua tenancy (grupos dinâmicos e grupos de usuários). Não é possível alterar essa opção posteriormente. Evite digitar informações confidenciais.
    • Descrição: Uma descrição amigável.
  4. Informe as Regras de Correspondência. Os recursos que atendem aos critérios da regra são membros do grupo.
  5. Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deve ter permissões para usar o namespace da tag. Para obter mais informações sobre tags, consulte Tags de Recursos. Se você não tiver certeza se deseja aplicar tags, ignore essa opção ou pergunte a um administrador. Você pode aplicar tags posteriormente.

  6. Selecione Criar Grupo Dinâmico.

    A sintaxe da regra de correspondência é verificada, mas os OCIDs não são. Verifique se os OCIDs digitados estão corretos.

Em seguida, para conceder as permissões do grupo dinâmico, você precisa gravar uma política. Consulte Gravando Políticas para Grupos Dinâmicos.

Para excluir um grupo dinâmico
  1. Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Domínios. Em Domínio de identidades, selecione Grupos dinâmicos. Uma lista dos grupos dinâmicos em sua tenancy é exibida.
  2. Localize o grupo dinâmico na lista.
  3. Para o grupo dinâmico que você deseja excluir, selecione Excluir.
  4. Confirme quando solicitado.
Para atualizar a descrição de um grupo dinâmico
  1. Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Domínios. Em Domínio de identidades, selecione Grupos dinâmicos. Uma lista dos grupos em sua tenancy será exibida.
  2. Selecione o grupo dinâmico que deseja atualizar. Os detalhes do grupo dinâmico serão exibidos.
  3. Selecione Editar Grupo Dinâmico.
  4. Edite a descrição. Quando terminar, selecione Salvar Alterações.
Para atualizar as regras de correspondência de um grupo dinâmico
  1. Abra o menu de navegação e selecione Identidade e Segurança. Em Identidade, selecione Domínios. Em Domínio de identidades, selecione Grupos dinâmicos. Uma lista dos grupos dinâmicos em sua tenancy é exibida.
  2. Selecione o grupo dinâmico que deseja atualizar. Os detalhes do grupo dinâmico serão exibidos.
  3. Selecione Editar Todas as Regras de Correspondência.
  4. Edite a regra de correspondência na caixa de texto; ou você poderá usar o construtor de regras se a alteração for suportada pelo construtor de regras.

Gravando Regras de Correspondência para Definir Grupos Dinâmicos

As regras de correspondência definem os recursos que pertencem ao grupo dinâmico. Na Console, você pode informar a regra manualmente na caixa de texto fornecida ou pode usar o criador de regra. O construtor de regras permite fazer seleções e entradas em uma caixa de diálogo e, em seguida, grava a regra para você, com base em suas entradas.

Você pode definir os membros do grupo dinâmico com base no seguinte:

  • ID do compartimento - incluir (ou excluir) as instâncias que residem nesse compartimento com base no OCID do compartimento
  • ID da instância - incluir (ou excluir) uma instância com base no OCID de sua instância
  • namespace de tag e chave de tag - incluir (ou excluir) instâncias marcadas com um namespace de tag e chave de tag específicos. Todos os valores de tags são incluídos. Por exemplo, inclua todas as instâncias marcadas com o namespace de tag department e a chave de tag operations.
  • namespace de tag, chave de tag e valor de tag - incluir (ou excluir) instâncias marcadas com um valor específico para o namespace de tag e chave de tag. Por exemplo, inclua todas as instâncias marcadas com o namespace de tag department e a chave de tag operations e com o valor '45'.
  • resource.compartment.id - o OCID do compartimento no qual o recurso reside
  • resource.id - o OCID do recurso
  • resource.type - o tipo do recurso

Uma regra de correspondência tem a seguinte sintaxe:

Para uma única condição:

variable =|!= 'value'

Para várias condições:

any|all {<condition>,<condition>,...}

As variáveis suportadas são:

  • instance.compartment.id - o OCID do compartimento onde a instância reside
  • instance.id - o OCID da instância
  • tag.<tagnamespace>.<tagkey>.value - o namespace da tag e a chave da tag. Por exemplo, tag.department.operations.value.
  • tag.<tagnamespace>.<tagkey>.value='<tagvalue>' - o namespace da tag, a chave da tag e o valor da tag. Por exemplo, tag.department.operations.value='45'

Seguem alguns exemplos:

Incluir Todas as Instâncias em um Compartimento Específico no Grupo Dinâmico

Para incluir todas as instâncias que estão em um compartimento específico, adicione uma regra com a seguinte sintaxe:

instance.compartment.id = '<compartment_ocid>'

Você pode digitar a regra diretamente na caixa de texto ou pode usar o construtor de regras.

Exemplo de entrada na caixa de texto:

instance.compartment.id = 'ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv'

Para adicionar a mesma regra usando o construtor de regras da Console:

  • Para Incluir Instâncias Correspondentes: Selecione Todas as seguintes.
  • Para Associar Instâncias a: Selecione OCID do Compartimento.
  • Para Valor: Informe o OCID do compartimento. Neste exemplo, você digitaria ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv

Todas as instâncias que existem ou são criadas no compartimento (identificadas por OCID) são membros deste grupo.

Incluir Todas as Instâncias de Dois ou Mais Compartimentos

Para incluir todas as instâncias que residem em dois (ou mais) compartimentos, adicione uma regra com a seguinte sintaxe:

Any {instance.compartment.id = '<compartment_ocid>', instance.compartment.id = '<compartment_ocid>'}

separando cada entrada de compartimento com uma vírgula.

Você pode digitar a regra diretamente na caixa de texto ou pode usar o construtor de regras.

Exemplo de entrada na caixa de texto:

Any {instance.compartment.id = 'ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv', instance.compartment.id = 'ocid1:compartment:oc1:phx:samplecompartmentocidythksk89ekslsoelu2'}

Para adicionar a mesma regra usando o construtor de regras da Console:

  1. Para Incluir Instâncias Correspondentes: Selecione Qualquer uma das seguintes.
  2. Para Corresponder a Instâncias Com: Selecione OCID do Compartimento.
  3. Para Valor: Informe o OCID do compartimento. Neste exemplo, você digitaria ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv
  4. Selecione +Additional Line. Insira o seguinte na segunda linha:
    • Para Corresponder a Instâncias Com: Selecione OCID do Compartimento.
    • Para Valor: Informe o OCID do compartimento adicional. Neste exemplo, você digitaria ocid1:compartment:oc1:phx:samplecompartmentocidythksk89ekslsoelu2

As instâncias que existem no momento ou que serão criadas mais tarde em qualquer um dos compartimentos especificados são membros desse grupo.

Incluir Todas as Instâncias Marcadas com um Namespace e uma Chave de Tag Específicos

Para incluir todas as instâncias marcadas com um namespace de tag e uma chave de tag específicos, adicione uma regra com a seguinte sintaxe:

tag.<tagnamespace>.<tagkey>.value

Todas as instâncias designadas à combinação tagnamespace.tagkey são incluídas. Observe que o valor da tag não é avaliado, portanto, todos os valores são incluídos.

Exemplo: Suponha que você tenha um namespace de tag chamado department e uma chave de tag chamada operations. Você deseja incluir todas as instâncias marcadas com o namespace e a chave da tag.

Informe a seguinte regra na caixa de texto:

tag.department.operations.value

Todas as instâncias que existem ou são criadas com o namespace da tag e a chave de tag department.operations são membros deste grupo.

Incluir Todas as Instâncias em um Compartimento Específico com um Namespace de Tag, uma Chave de Tag e um Valor de Tag específicos

Para incluir todas as instâncias em um compartimento específico que estejam marcadas com um namespace de tag, chave e valor específicos, adicione uma regra com a seguinte sintaxe:

Todas {instance.compartment.id = '<compartment_ocid>', tag.<tagnamespace>.<tagkey>.value='<tagvalue>'}

Todas as instâncias que estão no compartimento identificado e que são designadas como chave de namespace de tag com o valor de tag especificado são incluídas.

Exemplo: Suponha que você tenha um namespace de tag chamado department e uma chave de tag chamada operations. Você deseja incluir todas as instâncias marcadas com o valor 45 que estão em um compartimento específico.

Informe a seguinte instrução na caixa de texto:

All {instance.compartment.id='ocid1:compartment:oc1:phx:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv,',
tag.department.operations.value='45'}

Usando o Construtor de Regras

O construtor de regra é uma ferramenta disponível na Console para ajudar você a gravar regras de correspondência. O construtor de regras fornece menus e caixas de texto para que você faça lançamentos e, em seguida, grava a regra para você. O construtor de regras tem algumas limitações; portanto, não é possível usá-lo para todos os casos.

Limitações do Construtor de Regras

O construtor de regras não suporta o seguinte:

  • Regras de exclusão - o construtor de regras permite que você selecione somente IDs de compartimento e IDs de instância a serem incluídos.
  • Regras baseadas em tags - o construtor de regras não permite que você selecione tags para incluir na regra. Para adicionar uma regra com base em valores de tag, você precisa inserir a regra na caixa de texto Regra usando a sintaxe acima.

Iniciando o Construtor de Regras

Quando você seleciona Criar Grupo Dinâmico, o Construtor de Regras é exibido na caixa do diálogo Criar Grupo Dinâmico.

Para criar uma regra de correspondência usando o construtor de regras

  1. Na seção Regras de Correspondência, selecione Construtor de Regras.

  2. No menu Incluir Instâncias que Correspondem, selecione Todas as seguintes ou Qualquer uma das seguintes.

    Todas as opções a seguir incluem apenas instâncias que correspondam a todas as instruções na regra.

    Qualquer uma das seguintes inclui instâncias que correspondam a qualquer uma das instruções na regra.

    Observação

    Você pode selecionar as seguintes variáveis de instância e compartimento:
    • instance.compartment.id e instance.id são aplicáveis ao corresponder instâncias
    • resource.compartment.id, resource.id e resource.type são aplicáveis ao corresponder recursos
    • As variáveis tag.* se aplicam a instâncias e recursos

  3. Selecione um tipo de recurso no menu Corresponder Instâncias com e informe o OCID do recurso no campo Valor:

    OCID do Compartimento inclui instâncias no compartimento que você especificar.

    O OCID da Instância inclui as instâncias com os OCIDs que você especifica.

  4. Selecione +Additional line para adicionar mais instruções a esta regra.

    Quando você adicionar várias instruções a uma regra, lembre-se que Qualquer uma das seguintes inclui instâncias que coincidem com qualquer destas instruções. Se você escolher Todos os seguintes, as instâncias deverão corresponder todas as especificações nas instruções a serem incluídas no grupo.

Exemplos Usando o Construtor de Regras

Incluir Todas as Instâncias em um Compartimento Específico no Grupo Dinâmico

Para incluir todas as instâncias que estão em um compartimento específico, usando o construtor de regras:

  • Selecione Todas as seguintes.
  • Para Corresponder a Instâncias Com: Selecione OCID do Compartimento.
  • Para Value: Digite o OCID do compartimento, por exemplo, ocid1:compartment:oc1:phx:samplecompartmentocidythksk89ekslsoelu2

Todas as instâncias que existem no momento ou que serão criadas mais tarde no compartimento (identificadas pelo OCID) são membros desse grupo.

Incluir Todas as Instâncias de Dois ou Mais Compartimentos

Para incluir todas as instâncias que residem em qualquer um de dois (ou mais) compartimentos usando o construtor de regras:

  1. No menu Incluir Instâncias que Correspondem, selecione Qualquer uma das seguintes.
  2. Na primeira linha, digite:
    • Em Corresponder Instâncias com, selecione OCID do Compartimento.
    • Para Value, informe o OCID do compartimento, por exemplo: ocid1:compartment:oc1:phx:samplecompartmentocid6q6igvfauxmima74jv
  3. Selecione +Additional Line. Insira o seguinte na segunda linha:
    • Em Corresponder Instâncias com, selecione OCID do Compartimento
    • Para Valor, informe o OCID do compartimento, por exemplo: ocid1:compartment:oc1:phx:samplecompartmentocidythksk89ekslsoelu2
  4. Continue adicionando linhas adicionais conforme necessário, para cada compartimento que deseja incluir.

As instâncias que existem ou são criadas em qualquer um dos compartimentos especificados são membros deste grupo.